(1)

Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2016/794 (2) for at støtte og styrke medlemsstaternes kompetente myndigheders indsats for og deres indbyrdes samarbejde om at forebygge og bekæmpe grov kriminalitet, der berører to eller flere medlemsstater, samt terrorisme og former for kriminalitet, der berører en fælles interesse, som er omfattet af en EU-politik.

(2)

Europa står over for et sikkerhedslandskab i forandring med skiftende og stadig mere komplekse sikkerhedstrusler. Terrorister og andre kriminelle udnytter den digitale omstilling og de nye teknologier, navnlig både sammenkobling og udviskning af grænserne mellem den fysiske og den digitale verden, for eksempel ved at skjule deres kriminelle handlinger og deres identiteter ved hjælp af stadig mere sofistikerede teknikker. Terrorister og andre kriminelle har vist, at de er i stand til at tilpasse deres fremgangsmåder og udvikle nye kriminelle handlinger i krisetider, herunder ved at benytte teknologiunderstøttede værktøjer som løftestang for at multiplicere og udvide bredden og omfanget af deres kriminelle handlinger. Terrorisme udgør fortsat en betydelig trussel mod unionsborgernes frihed og levevis.

(3)

Skiftende og komplekse trusler spreder sig på tværs af grænserne, omfatter forskellige former for kriminalitet, som de letter, og manifesterer sig i polykriminelle organiserede kriminelle grupper, der foretager en lang række kriminelle handlinger. Da det ikke er tilstrækkeligt med indsats på nationalt plan og grænseoverskridende samarbejde for at tackle disse grænseoverskridende sikkerhedstrusler, har medlemsstaternes kompetente myndigheder i stigende grad gjort brug af den støtte og ekspertise, som Europol tilbyder til at forebygge og bekæmpe grov kriminalitet og terrorisme. Siden forordning (EU) 2016/794 begyndte at finde anvendelse, er den operationelle betydning af Europols opgaver tiltaget væsentligt. Det nye trusselsmiljø ændrer ydermere omfanget og typen af den støtte, som medlemsstaterne har brug for og forventer af Europol for at beskytte borgerne.

(4)

Yderligere opgaver bør derfor pålægges Europol ved denne forordning for at gøre det muligt for Europol bedre at støtte medlemsstaternes kompetente myndigheder, samtidig med at medlemsstaternes ansvar på området national sikkerhed, der er fastsat ved artikel 4, stk. 2, i traktaten om Den Europæiske Union (TEU), bevares fuldt ud. Europols styrkede mandat bør modsvares af en styrkelse af beskyttelsen af de grundlæggende rettigheder og øget ansvarlighed, ansvar og tilsyn, herunder parlamentarisk kontrol og kontrol gennem Europols bestyrelse (»bestyrelsen«). For at Europol kan opfylde sit styrkede mandat, bør tilstrækkelige menneskelige og finansielle ressourcer stilles til rådighed for Europol for at støtte dets yderligere opgaver.

(5)

Da Unionen står over for stigende trusler fra organiserede kriminelle grupper og med hensyn til terrorangreb, skal en effektiv retshåndhævelsesindsats omfatte, at veluddannede interoperable særlige indsatsenheder, der er specialiseret i kontrol af menneskeskabte krisesituationer, er til rådighed. I Unionen samarbejder medlemsstaternes særlige indsatsenheder på grundlag af Rådets afgørelse 2008/617/RIA (3). Europol bør kunne støtte disse særlige indsatsenheder ved at yde teknisk og finansiel støtte som supplement til medlemsstaternes indsats.

(6)

I de seneste år har omfattende cyberangreb, herunder angreb med oprindelse i tredjelande, været rettet mod både offentlige og private enheder på tværs af mange jurisdiktioner i og uden for Unionen og har berørt forskellige sektorer, herunder transport, sundhed og finansielle tjenesteydelser. Forebyggelse, opdagelse, efterforskning og retsforfølgning af sådanne cyberangreb understøttes af koordinering og samarbejde mellem relevante aktører, herunder Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2019/881 (4), de kompetente myndigheder for sikkerheden i net- og informationssystemer i den i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (5) anvendte betydning, medlemsstaternes kompetente myndigheder og private parter. For at sikre et effektivt samarbejde mellem alle relevante aktører på EU-plan og nationalt plan om cyberangreb og cybertrusler bør Europol samarbejde med ENISA navnlig gennem informationsudvekslinger og ved at yde analytisk støtte på områder, der falder ind under deres respektive kompetencer.

(7)

Højrisikokriminelle spiller en ledende rolle i kriminelle netværk, og deres kriminelle handlinger udgør en høj risiko for Unionens interne sikkerhed. For at bekæmpe organiserede kriminelle grupper, der udgør en høj risiko, og deres ledende medlemmer bør Europol kunne bistå medlemsstaterne med at fokusere deres efterforskningsindsats på at identificere disse netværks medlemmer og ledende medlemmer, deres kriminelle handlinger og deres finansielle aktiver.

(8)

De trusler, der er forbundet med grov kriminalitet, kræver en koordineret, sammenhængende, tværfaglig indsats, der involverer flere agenturer. Europol bør kunne fremme og støtte efterretningsbaserede sikkerhedsinitiativer, der forvaltes af medlemsstaterne, og som har til formål at kortlægge, prioritere og imødegå alvorlige kriminalitetstrusler såsom den europæiske tværfaglige platform mod kriminalitetstrusler (EMPACT). Europol bør kunne yde administrativ, logistisk, finansiel og operationel støtte til sådanne initiativer.

(9)

Schengeninformationssystemet (SIS), der blev oprettet på området politisamarbejde og strafferetligt samarbejde ved Europa-Parlamentets og Rådets forordning (EU) 2018/1862 (6), er et vigtigt redskab til at opretholde et højt sikkerhedsniveau inden for området med frihed, sikkerhed og retfærdighed. Som knudepunkt for udveksling af oplysninger i Unionen modtager og opbevarer Europol værdifulde oplysninger fra tredjelande og internationale organisationer om personer, der mistænkes for at være involveret i kriminalitet, der falder ind under Europols målsætninger. Inden for rammerne af sine målsætninger og sin opgave med at støtte medlemsstaterne i forebyggelse og bekæmpelse af grov kriminalitet og terrorisme bør Europol støtte medlemsstaterne i behandlingen af oplysninger meddelt til Europol af tredjelande eller internationale organisationer ved at anbefale, at medlemsstaterne i SIS kan indlæse en ny kategori af indberetninger med oplysninger i Unionens interesse (»indberetninger med oplysninger«), for at gøre disse indberetninger med oplysninger tilgængelige for SIS-slutbrugerne. Med henblik herpå bør der indføres en mekanisme til regelmæssig rapportering for at sikre, at medlemsstaterne og Europol underrettes om resultatet af kontrollen og analysen af disse oplysninger og om hvorvidt oplysningerne er blevet indlæst i SIS. De nærmere ordninger for medlemsstaternes samarbejde om behandling af sådanne oplysninger og indlæsning af indberetninger i SIS, navnlig for så vidt angår bekæmpelse af terrorisme, bør være underlagt løbende koordinering mellem medlemsstaterne. Bestyrelsen bør præcisere de kriterier, på grundlag af hvilke Europol bør kunne fremsætte forslag om indlæsning af sådanne indberetninger med oplysninger i SIS.

(10)

Europol spiller en vigtig rolle som støtte for evaluerings- og overvågningsmekanismen til kontrol af anvendelsen af Schengenreglerne som fastsat ved Rådets forordning (EU) nr. 1053/2013 (7). Europol bør derfor efter anmodning fra medlemsstaterne bidrage med ekspertise, analyser, rapporter og andre relevante oplysninger til evaluerings- og overvågningsmekanismen til kontrol af anvendelsen af Schengenreglerne.

(11)

Risikovurderinger bidrager til at foregribe nye tendenser og imødegå nye trusler fra grov kriminalitet og terrorisme. For at støtte Kommissionen og medlemsstaterne i gennemførelsen af effektive risikovurderinger bør Europol forelægge Kommissionen og medlemsstaterne analyser af trusselsvurderinger på grundlag af de oplysninger, det råder over om kriminelle fænomener og tendenser, uden at dette berører EU-retten om toldrisikostyring.

(12)

For at EU-finansieringen af sikkerhedsforskning opnår dens mål om at sikre, at denne forskning når sit fulde potentiale og imødekommer behovene inden for retshåndhævelse, bør Europol bistå Kommissionen med at udpege centrale forskningstemaer og med at udarbejde og gennemføre de EU-rammeprogrammer for forskning og innovation, som er relevante for Europols målsætninger. Europol bør, hvis det er relevant, kunne formidle resultaterne af sine forsknings- og innovationsaktiviteter som led i sit bidrag til at skabe synergier mellem relevante EU-organers forsknings- og innovationsaktiviteter. Europol bør, hvis det er hensigtsmæssigt, kunne rådføre sig med Kommissionens Fælles Forskningscenter i forbindelse med udformningen og konceptualiseringen af forsknings- og innovationsaktiviteter, som er relevante for Europols målsætninger. Europol bør træffe alle nødvendige foranstaltninger for at undgå interessekonflikter. Europol bør ikke modtage støtte fra et givent EU-rammeprogram, når det bistår Kommissionen med at udpege centrale forskningstemaer eller med at udarbejde og gennemføre det pågældende program. Det er vigtigt, at Europol kan regne med at modtage tilstrækkelige midler for at kunne bistå medlemsstaterne og Kommissionen på forsknings- og innovationsområdet.

(13)

Det er muligt for Unionen og medlemsstaterne at vedtage restriktive foranstaltninger vedrørende udenlandske direkte investeringer af hensyn til sikkerheden eller den offentlige orden. Med henblik herpå fastsætter Europa-Parlamentets og Rådets forordning (EU) 2019/452 (8) et regelsæt for screening af udenlandske direkte investeringer i Unionen. Udenlandske direkte investeringer i nye teknologier kræver særlig opmærksomhed, da de kan have væsentlige konsekvenser for sikkerheden og den offentlige orden, navnlig når sådanne teknologier anvendes af medlemsstaternes kompetente myndigheder. I lyset af Europols involvering i overvågningen af nye teknologier, samt dets involvering i udviklingen af nye måder, hvorpå disse teknologier kan anvendes til retshåndhævelsesformål, navnlig gennem dets innovationslaboratorium og EU-innovationsknudepunktet for indre sikkerhed, har Europol omfattende viden om de muligheder, som disse teknologier rummer, samt de risici, der er forbundet med anvendelsen af dem. Det bør derfor være muligt for Europol at støtte medlemsstaterne i screeningen af udenlandske direkte investeringer i Unionen og de dermed forbundne risici for sikkerheden, der vedrører virksomheder, som leverer teknologier, herunder software, der anvendes af Europol til forebyggelse og efterforskning af kriminalitet, som er omfattet af Europols målsætninger, eller kritiske teknologier, som kan bruges til at lette terrorisme. I den forbindelse bør Europols ekspertise støtte screeningen af de udenlandske direkte investeringer og de dermed forbundne risici for sikkerheden. Der bør især tages højde for, om den udenlandske investor allerede har været involveret i aktiviteter, der påvirker sikkerheden, om der er en alvorlig risiko for, at den udenlandske investor deltager i ulovlige eller kriminelle handlinger, og om den udenlandske investor direkte eller indirekte kontrolleres af et tredjelands regering, herunder gennem subsidier.

(14)

Europol stiller specialiseret ekspertise til rådighed til bekæmpelse af grov kriminalitet og terrorisme. Efter anmodning fra en medlemsstat bør Europolansatte kunne yde operationel støtte til den pågældende medlemsstats kompetente myndigheder i forbindelse med operationer og efterforskninger, navnlig ved at lette grænseoverskridende udveksling af oplysninger og yde kriminalteknisk og teknisk støtte i forbindelse med operationer og efterforskninger, herunder i forbindelse med fælles efterforskningshold. Efter anmodning fra en medlemsstat bør Europolansatte have ret til at være til stede under udførelsen af efterforskningsforanstaltninger i den pågældende medlemsstat. Europolansatte bør ikke have beføjelse til at udføre efterforskningsforanstaltninger.

(15)

En af Europols målsætninger er at støtte og styrke medlemsstaternes kompetente myndigheders indsats for og deres indbyrdes samarbejde om at forebygge og bekæmpe de former for kriminalitet, der berører en fælles interesse, som er omfattet af en EU-politik. For at styrke denne støtte bør Europols administrerende direktør (»den administrerende direktør«) kunne foreslå de kompetente myndigheder i en medlemsstat, at de indleder, gennemfører eller koordinerer efterforskningen af en strafbar handling, der kun vedrører den pågældende medlemsstat men berører en fælles interesse, der er omfattet af en EU-politik. Europol bør underrette Eurojust og, hvis det er relevant, Den Europæiske Anklagemyndighed (»EPPO«), der blev oprettet ved Rådets forordning (EU) 2017/1939 (9), om alle sådanne forslag.

(16)

Offentliggørelse af identiteten på og visse personoplysninger om mistænkte eller dømte personer, der er eftersøgt på grundlag af en national retsafgørelse, øger medlemsstaternes chancer for at lokalisere og arrestere sådanne personer. For at støtte medlemsstaterne med at lokalisere og arrestere sådanne personer bør Europol på sit websted kunne offentliggøre oplysninger om Europas mest eftersøgte personer for strafbare handlinger, som henhører under Europols målsætning. Med henblik herpå bør Europol også lette offentlighedens fremlæggelse af oplysninger om disse personer til medlemsstaterne og Europol.

(17)

Når Europol fastslår, at personoplysninger, som det modtager, er omfattet af dets målsætninger, bør det kunne behandle disse personoplysninger i følgende fire tilfælde: I det første tilfælde vedrører de modtagne personoplysninger en af de kategorier af registrerede, der er opført i bilag II til forordning (EU) 2016/794 (»bilag II«). I det andet tilfælde består de modtagne personoplysninger af efterforskningsoplysninger, der indeholder oplysninger, som ikke vedrører nogen af de kategorier af registrerede, der er opført i bilag II, men som er forelagt i henhold til en anmodning om Europols støtte af en konkret strafferetlig efterforskning fra en medlemsstat, EPPO, Eurojust eller et tredjeland, forudsat at denne medlemsstat, EPPO, Eurojust eller dette tredjeland har tilladelse til at behandle sådanne efterforskningsoplysninger i overensstemmelse med proceduremæssige krav og garantier i henhold til EU-retten og national ret. I dette tilfælde bør Europol kunne behandle disse efterforskningsoplysninger, så længe det støtter denne konkrete strafferetlige efterforskning. I det tredje tilfælde vedrører de modtagne personoplysninger muligvis ikke de kategorier af registrerede, der er opført i bilag II, og de er ikke givet i medfør af en anmodning om støtte fra Europol til en konkret strafferetlig efterforskning. I dette tilfælde bør Europol kunne kontrollere, hvorvidt disse personoplysninger vedrører en af disse kategorier af registrerede. I det fjerde tilfælde er de modtagne personoplysninger blevet fremsendt med henblik på forsknings- og innovationsprojekter, og de vedrører ikke de kategorier af registrerede, der er opført i bilag II.

(18)

I overensstemmelse med artikel 73 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (10) skal Europol, hvis det er relevant, og så vidt det er muligt, foretage en klar sondring mellem personoplysninger, som vedrører de forskellige kategorier af registrerede, der er opført i bilag II.

(19)

Hvor medlemsstaterne anvender Europols infrastruktur til udveksling af personoplysninger om kriminalitet, der ikke er omfattet af Europols målsætninger, bør Europol ikke have adgang til disse oplysninger og bør betragtes som en databehandler i henhold til artikel 87 i forordning (EU) 2018/1725. I disse tilfælde bør Europol kunne behandle oplysninger, der ikke vedrører de kategorier af registrerede, der er opført i bilag II. Hvor medlemsstaterne anvender Europols infrastruktur til udveksling af personoplysninger om kriminalitet, der er omfattet af Europols målsætninger, og hvor de giver Europol adgang til disse oplysninger, bør de krav, som er knyttet til de kategorier af registrerede, der er opført i bilag II, finde anvendelse på enhver anden behandling af disse oplysninger fra Europols side.

(20)

Samtidig med at princippet om dataminimering respekteres, bør Europol kunne kontrollere, hvorvidt personoplysninger, der modtages i forbindelse med forebyggelse og bekæmpelse af kriminalitet, der er omfattet af dets målsætninger, vedrører en af de kategorier af registrerede, der er opført i bilag II. Med henblik herpå bør Europol kunne foretage en foreløbig analyse af de modtagne personoplysninger med det ene formål at afgøre, om sådanne oplysninger vedrører disse kategorier af registrerede, ved at sammenholde disse personoplysninger med oplysninger, som det allerede er i besiddelse af, uden yderligere at analysere disse personoplysninger. En sådan foreløbig analyse bør finde sted forud for og adskilt fra Europols databehandling med henblik på krydskontrol, strategisk analyse, operationel analyse eller udveksling af oplysninger, og efter at Europol har fastslået, at de pågældende oplysninger er relevante og nødvendige for udførelsen af dets opgaver. Når Europol har sikret sig, at disse personoplysninger vedrører de kategorier af registrerede, der er opført i bilag II, bør Europol kunne behandle disse personoplysninger med henblik på krydskontrol, strategisk analyse, operationel analyse eller udveksling af oplysninger. Hvis Europol konkluderer, at disse personoplysninger ikke vedrører de kategorier af registrerede, der er opført i bilag II, bør det slette disse oplysninger.

(21)

Kategoriseringen af personoplysninger i et datasæt kan ændre sig over tid som følge af fremkomsten af nye oplysninger i forbindelse med strafferetlige efterforskninger, f.eks. vedrørende yderligere mistænkte. Af den grund bør Europol have mulighed for at behandle personoplysninger, hvor det er strengt nødvendigt og forholdsmæssigt med henblik på at fastslå de kategorier af registrerede, som de pågældende oplysninger vedrører, i en periode på op til 18 måneder fra det tidspunkt, hvor Europol har sikret sig, at disse oplysninger er omfattet af dets målsætninger. Europol bør kunne forlænge denne periode til op til tre år i behørigt begrundede tilfælde, og forudsat at en sådan forlængelse er nødvendig og forholdsmæssig. Forlængelsen bør meddeles til Den Europæiske Tilsynsførende for Databeskyttelse (EDPS). Hvis behandlingen af personoplysninger med henblik på at fastslå kategorier af registrerede ikke længere er nødvendig og begrundet, og under alle omstændigheder efter udløbet af den maksimale behandlingsperiode, bør Europol slette personoplysningerne.

(22)

Mængden af oplysninger, der indsamles i forbindelse med strafferetlige efterforskninger, har været stigende, og datasættene er blevet mere komplekse. Medlemsstaterne indsender store og komplekse datasæt til Europol med anmodning om operationel analyse for at identificere forbindelser til andre strafbare handlinger end den, der er omfattet af den efterforskning, i forbindelse med hvilken de blev indsamlet, og til kriminelle i andre medlemsstater og uden for Unionen. Eftersom Europol kan opdage sådanne grænseoverskridende forbindelser mere effektivt end medlemsstaterne gennem deres egen analyse af oplysningerne, bør Europol kunne støtte medlemsstaternes strafferetlige efterforskning ved at behandle store og komplekse datasæt med henblik på at identificere sådanne grænseoverskridende forbindelser, forudsat at de strenge krav og garantier i denne forordning overholdes. Hvis det er nødvendigt for effektivt at støtte en igangværende konkret strafferetlig efterforskning i en medlemsstat, bør Europol kunne behandle efterforskningsoplysninger, som de kompetente myndigheder i medlemsstaterne har tilladelse til at behandle i den pågældende konkrete strafferetlige efterforskning, i overensstemmelse med de proceduremæssige krav og garantier, der finder anvendelse i henhold til deres nationale ret, og som efterfølgende er blevet forelagt for Europol. Dette bør omfatte personoplysninger i tilfælde, hvor en medlemsstat ikke har været i stand til at fastslå, om disse oplysninger vedrører de kategorier af registrerede, der er opført i bilag II. Hvis en medlemsstat, EPPO eller Eurojust meddeler efterforskningsoplysninger til Europol og anmoder om Europols støtte til en igangværende konkret strafferetlig efterforskning, bør Europol kunne behandle disse oplysninger, så længe det støtter den konkrete strafferetlige efterforskning, i overensstemmelse med proceduremæssige krav og garantier, der finder anvendelse i henhold til EU-retten eller national ret.

(23)

For at sikre at enhver databehandling udført i forbindelse med en strafferetlig efterforskning er nødvendig og forholdsmæssig, bør medlemsstaterne sikre overholdelse af EU-retten og national ret, når de fremsender efterforskningsoplysninger til Europol. Når medlemsstaterne fremsender efterforskningsoplysninger til Europol for at anmode om Europols støtte til en konkret strafferetlig efterforskning, bør de tage hensyn til omfanget og kompleksiteten af databehandlingen samt typen og betydningen af efterforskningen. Medlemsstaterne bør underrette Europol, når de ikke længere har tilladelse til at behandle oplysninger i den pågældende konkrete strafferetlige efterforskning i overensstemmelse med proceduremæssige krav og garantier, der finder anvendelse i henhold til deres nationale ret. Europol bør kun behandle personoplysninger, der ikke vedrører de kategorier af registrerede, der er opført i bilag II, hvor det vurderer, at det ikke er muligt at støtte en igangværende konkret strafferetlig efterforskning uden at behandle disse personoplysninger. Europol bør dokumentere denne vurdering. Europol bør opbevare sådanne oplysninger funktionelt adskilt fra andre oplysninger og bør kun behandle dem, hvis det er nødvendigt for dets støtte til den pågældende igangværende konkrete strafferetlige efterforskning, som f.eks. i tilfælde af et nyt spor.

(24)

Europol bør også kunne behandle personoplysninger, der er nødvendige for dets støtte til en konkret strafferetlig efterforskning i en eller flere medlemsstater, hvis disse oplysninger meddeles af et tredjeland, forudsat at: tredjelandet er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (11) (»afgørelse om tilstrækkeligt beskyttelsesniveau«); Unionen har indgået en international aftale med det pågældende tredjeland i henhold til artikel 218 i traktaten om Den Europæiske Unions funktionsmåde (TEUF), som omfatter videregivelse af personoplysninger til retshåndhævelsesformål (»international aftale«); en samarbejdsaftale, der muliggør udveksling af personoplysninger, er indgået mellem Europol og tredjelandet inden ikrafttrædelsen af forordning (EU) 2016/794 (»samarbejdsaftale«); eller de fornødne garantier for beskyttelsen af personoplysninger er fastsat i et juridisk bindende instrument, eller Europol på grundlag af en vurdering af alle omstændighederne ved overførslen af personoplysninger fastlægger, at disse garantier er til stede i det pågældende tredjeland, og forudsat at tredjelandet indhentede oplysningerne inden for rammerne af en strafferetlig efterforskning i overensstemmelse med de proceduremæssige krav og garantier, der finder anvendelse i henhold til dets nationale strafferet. Hvor et tredjeland meddeler efterforskningsoplysningerne til Europol, bør Europol kontrollere, at mængden af personoplysninger ikke er åbenbart uforholdsmæssig i forhold til den konkrete strafferetlige efterforskning, som Europol støtter i den berørte medlemsstat, og så vidt muligt, at der ikke er nogen objektive indikationer på, at efterforskningsoplysningerne er indsamlet i åbenbar strid med de grundlæggende rettigheder. Hvis Europol konkluderer, at disse betingelser ikke er opfyldt, bør det ikke behandle oplysningerne og bør slette dem. Hvis et tredjeland meddeler efterforskningsoplysninger til Europol, bør Europols databeskyttelsesrådgivere kunne underrette EDPS, hvor det er relevant.

(25)

For at sikre at en medlemsstat kan anvende Europols analytiske rapporter i forbindelse med retssager efter en strafferetlig efterforskning, bør Europol efter anmodning fra den pågældende medlemsstat, EPPO eller Eurojust kunne opbevare de tilhørende efterforskningsoplysninger med henblik på at sikre rigtigheden, pålideligheden og sporbarheden af kriminalefterretningsprocessen. Europol bør opbevare sådanne oplysninger funktionelt adskilt og kun så længe retssagen i forbindelse med den strafferetlige efterforskning er igangværende i medlemsstaten. Der er endvidere behov for at sikre de kompetente judicielle myndigheders adgang hertil samt retten til et forsvar, navnlig mistænktes eller tiltaltes eller deres advokaters ret til adgang til materiale i sagen. Med henblik herpå bør Europol føre log over alt bevismateriale og de metoder, hvormed dette bevismateriale er blevet fremskaffet eller indhentet af Europol, så forsvaret kan foretage en effektiv bevisgennemgang.

(26)

Europol bør kunne behandle personoplysninger, som Europol har modtaget inden denne forordnings ikrafttræden, og som ikke vedrører de kategorier af registrerede, der er opført i bilag II, i overensstemmelse med denne forordning i to tilfælde. I det første tilfælde bør Europol kunne behandle sådanne personoplysninger til støtte for en strafferetlig efterforskning eller med henblik på at sikre rigtigheden, pålideligheden og sporbarheden af kriminalefterretningsprocessen, forudsat at kravene i overgangsordningerne vedrørende behandling af personoplysninger, der er modtaget til støtte for en strafferetlig efterforskning, overholdes. I det andet tilfælde bør Europol også kunne kontrollere, hvorvidt sådanne personoplysninger vedrører en af de kategorier af registrerede, der er opført i bilag II, ved at foretage en foreløbig analyse af disse personoplysninger inden for en periode på op til 18 måneder fra den dag, hvor Europol først modtog oplysningerne, eller i begrundede tilfælde og med forudgående tilladelse fra EDPS i en længere periode. Den maksimale periode for behandling af personoplysninger med henblik på en sådan foreløbig analyse bør ikke overstige tre år fra den dag, hvor Europol først modtog oplysningerne.

(27)

Grænseoverskridende tilfælde af grov kriminalitet eller terrorisme kræver et tæt samarbejde mellem de berørte medlemsstaters kompetente myndigheder. Europol stiller værktøjer til rådighed til støtte for et sådant samarbejde i forbindelse med efterforskninger, navnlig gennem udveksling af oplysninger. For yderligere at styrke dette samarbejde i konkrete strafferetlige efterforskninger ved hjælp af fælles operationel analyse bør medlemsstaterne kunne give andre medlemsstater direkte adgang til de oplysninger, de har meddelt Europol, uden at dette berører eventuelle generelle eller specifikke begrænsninger, de har angivet, i adgangen til disse oplysninger. Medlemsstaternes behandling af personoplysninger i forbindelse med fælles operationel analyse bør finde sted i overensstemmelse med denne forordning og direktiv (EU) 2016/680.

(28)

Europol og EPPO bør indgå samarbejdsordninger, der fastlægger de nærmere regler for deres samarbejde under behørig hensyntagen til deres respektive kompetencer. Europol bør arbejde tæt sammen med EPPO og aktivt støtte EPPO's efterforskning på dennes anmodning, herunder ved at yde analytisk støtte og meddele relevante oplysninger. Europol bør også samarbejde med EPPO fra det tidspunkt, hvor en formodet lovovertrædelse anmeldes til EPPO, og indtil det tidspunkt, hvor EPPO afgør, om den skal retsforfølge eller på anden måde afslutte sagen. Europol bør uden unødigt ophold underrette EPPO om enhver kriminel adfærd, i forbindelse med hvilken EPPO kan udøve sin kompetence. For at styrke det operationelle samarbejde mellem Europol og EPPO bør Europol give EPPO mulighed for at få adgang til oplysninger, som Europol er i besiddelse af, for at få svar på, om der findes oplysninger om søgeemnet, og således, at kun Europol underrettes, hvis der findes oplysninger om søgeemnet, i overensstemmelse med denne forordning, herunder eventuelle begrænsninger, der er pålagt af leverandøren af oplysningerne til Europol. Hvis oplysningerne er omfattet af en begrænsning anført af en medlemsstat, bør Europol henvise spørgsmålet til den pågældende medlemsstat, således at den kan opfylde sine forpligtelser i henhold til forordning (EU) 2017/1939. Den berørte medlemsstat bør efterfølgende underrette EPPO i overensstemmelse med sin nationale procedure. De regler om transmission af personoplysninger til EU-organer, der er fastsat i nærværende forordning, bør finde anvendelse på Europols samarbejde med EPPO. Europol bør også kunne støtte EPPO's efterforskninger ved hjælp af analyser af store og komplekse datasæt i overensstemmelse med de garantier og databeskyttelsesgarantier, der er fastsat i nærværende forordning.

(29)

Europol bør arbejde tæt sammen med Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) for at afsløre svig, korruption og enhver anden ulovlig aktivitet, der skader Unionens finansielle interesser. Med henblik herpå bør Europol uden unødigt ophold transmittere OLAF alle oplysninger, med hensyn til hvilke OLAF kan udøve sin kompetence. De regler om transmission af personoplysninger til EU-organer, der er fastsat i denne forordning, bør finde anvendelse på Europols samarbejde med OLAF.

(30)

Grov kriminalitet og terrorisme har ofte forbindelser uden for Unionen. Europol kan udveksle personoplysninger med tredjelande med respekt for privatlivets fred samt rettigheder og frihedsrettigheder for de registrerede. Hvis det er afgørende for efterforskningen af en konkret strafbar handling, der er omfattet af Europols målsætninger, bør den administrerende direktør fra sag til sag kunne tillade en kategori af videregivelser af personoplysninger til tredjelande, når denne kategori af videregivelser vedrører den samme specifikke situation, omfatter de samme kategorier af personoplysninger og de samme kategorier af registrerede, er nødvendig og forholdsmæssig med henblik på at efterforske en konkret strafbar handling og opfylder alle kravene i denne forordning. Det bør være muligt for individuelle videregivelser, der er omfattet af en kategori af videregivelser, at omfatte nogle af de kategorier af personoplysninger og kategorier af registrerede, hvis videregivelse er tilladt af den administrerende direktør. Det bør også være muligt at tillade en kategori af videregivelser af personoplysninger i følgende specifikke situationer: Hvor videregivelsen af personoplysninger er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser; hvor videregivelsen af personoplysninger er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed; hvor formålet med videregivelsen af personoplysninger er at beskytte den registreredes legitime interesser; eller i enkeltsager er med henblik på forebyggelsen, efterforskningen, opdagelsen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner eller med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af en konkret strafbar handling eller fuldbyrdelse af en konkret strafferetlig sanktion.

(31)

Videregivelse, der ikke er baseret på en tilladelse fra den administrerende direktør, en afgørelse om tilstrækkeligt beskyttelsesniveau, en international aftale eller en samarbejdsaftale, bør kun tillades, hvis der er givet de fornødne garantier for beskyttelsen af personoplysninger i et juridisk bindende instrument, eller hvis Europol på grundlag af en vurdering af samtlige forhold, der har indflydelse på videregivelsen af personoplysninger, fastlægger, at de disse garantier er til stede. Med henblik på denne vurdering bør Europol kunne tage højde for bilaterale aftaler, der er indgået mellem medlemsstaterne og tredjelande, og som muliggør udveksling af personoplysninger, og om videregivelsen af personoplysninger skal være underlagt tavshedspligt og omfattet af specialitetsprincippet, hvorved det sikres, at oplysningerne ikke bliver behandlet til andre formål end formålene med videregivelsen. Det er desuden vigtigt, at Europol tager højde for, om personoplysningerne kunne anvendes til at kræve, idømme eller fuldbyrde dødsstraf eller nogen anden form for grusom og umenneskelig behandling. Europol bør kunne kræve yderligere garantier.

(32)

For at støtte medlemsstaterne i deres samarbejde med private parter, hvor disse private parter ligger inde med oplysninger, der er relevante for forebyggelse og bekæmpelse af grov kriminalitet og terrorisme, bør Europol kunne modtage personoplysninger fra private parter og i særlige tilfælde, hvis dette er nødvendigt og forholdsmæssigt, udveksle personoplysninger med private parter.

(33)

Kriminelle benytter sig i stigende grad af de tjenester, som private parter tilbyder, til at kommunikere og udføre ulovlige aktiviteter. Sexforbrydere udnytter børn og deler billeder og videoer, som udgør materiale, der viser seksuelt misbrug af børn, i hele verden på onlineplatforme eller med ligesindede via nummeruafhængige interpersonelle kommunikationstjenester. Terrorister benytter de tjenester, som onlinetjenesteudbydere tilbyder, til at rekruttere frivillige, planlægge og koordinere angreb og udbrede propaganda. Cyberkriminelle drager fordel af digitaliseringen af vores samfund og af manglen på digital kunnen og andre digitale færdigheder i den brede befolkning og bruger phishing og social engineering til at begå andre former for cyberkriminalitet såsom onlinesvindel, ransomwareangreb eller betalingssvindel. Som følge af kriminelles øgede brug af onlinetjenester har private parter stadig større mængder personoplysninger, herunder abonnent-, trafik- og indholdsdata, som potentielt er relevante for strafferetlige efterforskninger.

(34)

I betragtning af internettets grænseløse karakter er det muligt, at onlinetjenesteudbyderen og den digitale infrastruktur, hvor personoplysningerne opbevares, hver især er underlagt forskellige nationale jurisdiktioner, enten inden for eller uden for Unionen. Private parter kan derfor være i besiddelse af datasæt, der er relevante for retshåndhævelsen, og som indeholder personoplysninger, som hører under flere jurisdiktioners kompetence, samt personoplysninger, der ikke uden videre kan henføres til en bestemt jurisdiktion. Medlemsstaternes kompetente myndigheder kan finde det vanskeligt effektivt at analysere sådanne datasæt, der vedrører flere jurisdiktioner, eller som ikke kan henføres til en bestemt jurisdiktion, ved hjælp af nationale løsningsmodeller. Desuden er der i øjeblikket ikke et enkelt kontaktpunkt for private parter, som beslutter at dele datasæt lovligt og frivilligt med medlemsstaternes kompetente myndigheder. Europol bør således råde over foranstaltninger til at lette samarbejdet med private parter, herunder med hensyn til udveksling af oplysninger.

(35)

For at sikre at private parter har et kontaktpunkt på EU-plan for lovlig og frivillig at meddele datasæt, der vedrører flere jurisdiktioner, eller datasæt, som ikke er lette at henføre til en eller flere bestemte jurisdiktioner, bør Europol kunne modtage personoplysninger direkte fra private parter med henblik på at give medlemsstaterne de oplysninger, der er nødvendige for at fastlægge jurisdiktion og efterforske kriminalitet inden for deres respektive jurisdiktioner, i overensstemmelse med denne forordning. Disse oplysninger vil kunne omfatte rapporter om modereret indhold, der med rimelighed kan antages at være knyttet til de kriminelle handlinger, der er omfattet af Europols målsætninger.

(36)

For at sikre at medlemsstaterne uden unødigt ophold modtager de oplysninger, der er nødvendige for at indlede efterforskninger for at forebygge og bekæmpe grov kriminalitet og terrorisme, bør Europol kunne behandle og analysere personoplysninger med henblik på at identificere de berørte nationale enheder og fremsende de personoplysninger og eventuelle resultater af sin analyse og kontrol af sådanne oplysninger, der er relevante med henblik på at fastlægge jurisdiktion og efterforske den pågældende kriminalitet inden for deres respektive jurisdiktioner, til disse nationale enheder. Europol bør også kunne fremsende de personoplysninger og resultater af sin analyse og kontrol af sådanne oplysninger, der er relevante med henblik på at fastslå jurisdiktion, til kontaktpunkter eller myndigheder i berørte tredjelande, der er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, eller hvormed der er indgået en international aftale eller en samarbejdsaftale, eller hvor de fornødne garantier for beskyttelsen af personoplysninger er fastsat i et juridisk bindende instrument, eller Europol på grundlag af en vurdering af alle omstændighederne ved overførslen af personoplysninger fastlægger, at disse garantier er til stede i de pågældende tredjelande. Hvis det berørte tredjeland ikke er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau eller ikke er part i en international aftale eller samarbejdsaftale eller i fraværet af et juridisk bindende instrument, eller hvis Europol ikke har fastlagt, at fornødne garantier er til stede, bør Europol kunne videregive resultatet af sin analyse og kontrol af sådanne oplysninger til det berørte tredjeland i overensstemmelse med denne forordning.

(37)

I overensstemmelse med forordning (EU) 2016/794 kan det i visse tilfælde og på betingelser være nødvendigt og forholdsmæssigt at Europol videregiver personoplysninger til private parter, der ikke er etableret i Unionen eller i et tredjeland, der er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, eller hvormed der er indgået en international aftale eller en samarbejdsaftale, eller hvor de fornødne garantier for beskyttelsen af personoplysninger ikke er fastsat i et juridisk bindende instrument, eller Europol ikke har fastlagt, at fornødne garantier er til stede. I sådanne tilfælde bør videregivelsen være underlagt krav om forudgående tilladelse fra den administrerende direktør.

(38)

For at sikre at Europol kan identificere alle relevante nationale enheder, bør det kunne underrette private parter, hvis de oplysninger, som de har meddelt, ikke er tilstrækkelige til, at Europol kan identificere de berørte nationale enheder. Dette vil gøre det muligt for disse private parter at afgøre, om det er i deres interesse at dele yderligere oplysninger med Europol, og om de lovligt kan gøre det. Med henblik herpå bør Europol kunne underrette private parter om manglende oplysninger, i det omfang det er strengt nødvendigt med det ene formål at identificere de berørte nationale enheder. Der bør gælde særlige garantier for videregivelser af oplysninger fra Europol til private parter, hvis den pågældende private part ikke er etableret i Unionen eller i et tredjeland, der er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, eller hvormed der er indgået en international aftale eller en samarbejdsaftale, eller hvor de fornødne garantier for beskyttelsen af personoplysninger ikke er fastsat i et juridisk bindende instrument, eller Europol ikke har fastlagt, at fornødne garantier er til stede.

(39)

Hvis medlemsstater, tredjelande, internationale organisationer eller private parter deler datasæt med flere jurisdiktioner eller datasæt, der ikke kan henføres til en eller flere specifikke jurisdiktioner, med Europol, er det muligt, at disse datasæt har forbindelse til personoplysninger, som private parter er i besiddelse af. I så fald bør Europol kunne sende en anmodning til medlemsstaterne via deres nationale enheder om at fremsende de personoplysninger, som private parter, der er etableret eller har en retlig repræsentant på disse medlemsstaters område, er i besiddelse af. En sådan anmodning bør kun sendes, hvis fremsendelsen af yderligere oplysninger fra sådanne private parter er nødvendig for at identificere de berørte nationale enheder. Anmodningen bør begrundes og være så præcis som muligt. De relevante personoplysninger, som bør være så lidt følsomme som muligt og være strengt begrænset til, hvad der er nødvendigt og forholdsmæssigt med henblik på at identificere de berørte nationale enheder, bør meddeles Europol i overensstemmelse med de berørte medlemsstaters gældende ret. De kompetente myndigheder i de berørte medlemsstater bør vurdere Europols anmodning og beslutte i overensstemmelse med deres nationale ret, om de vil efterkomme den. Private parters eventuelle databehandling, der udføres i forbindelse med behandling af sådanne anmodninger fra medlemsstaternes kompetente myndigheder, bør fortsat være underlagt de gældende regler, navnlig med hensyn til databeskyttelse. Private parter bør meddele medlemsstaternes kompetente myndigheder de oplysninger, som der anmodes om til deres yderligere transmission til Europol. I mange tilfælde er det muligt, at de berørte medlemsstater ikke kan etablere anden forbindelse til deres jurisdiktion end den kendsgerning, at den private part, der er i besiddelse af de relevante oplysninger, er etableret eller har en retlig repræsentant i deres jurisdiktion. Uanset om de er kompetente med hensyn til den konkrete strafbare handling, bør medlemsstaterne under alle omstændigheder sikre, at deres kompetente myndigheder kan indhente personoplysninger fra private parter med henblik på at give Europol de oplysninger, der er nødvendige for, at Europol kan opfylde sine målsætninger, i fuld overensstemmelse med de proceduremæssige garantier i henhold til deres nationale ret.

(40)

For at sikre at Europol ikke opbevarer personoplysninger, der modtages direkte fra private parter, længere, end det er nødvendigt for at identificere de berørte nationale enheder, bør der gælde frister for Europols opbevaring af personoplysninger. Når Europol har udtømt alle tilgængelige midler til at identificere alle berørte nationale enheder og ikke med rimelighed kan forvente at identificere yderligere berørte nationale enheder, er opbevaringen af disse personoplysninger ikke længere nødvendig og forholdsmæssig med henblik på at identificere de berørte nationale enheder. Europol bør slette personoplysningerne senest fire måneder efter deres sidste transmission, videregive dem til en national enhed eller videregive dem til kontaktpunktet i et tredjeland eller en myndighed i et tredjeland, medmindre en berørt national enhed, et berørt kontaktpunkt eller en berørt myndighed i overensstemmelse med EU-retten og national ret igen meddeler personoplysningerne til Europol inden for denne periode. Hvis de personoplysninger, der meddeles igen, indgik i et større sæt personoplysninger, bør Europol kun opbevare de personoplysninger, der er blevet meddelt igen af en berørt national enhed, et berørt kontaktpunkt eller en berørt myndighed.

(41)

Samarbejde mellem Europol og private parter bør hverken overlappe eller gribe ind i aktiviteterne for de finansielle efterretningsenheder (FIU'er), der blev oprettet i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (12), og bør kun vedrøre oplysninger, der ikke allerede skal meddeles til FIU'er i overensstemmelse med nævnte direktiv. Europol bør fortsat samarbejde med FIU'er, navnlig via de nationale enheder.

(42)

Europol bør kunne yde den nødvendige støtte til medlemsstaternes kompetente myndigheders samarbejde med private parter, navnlig ved at stille den nødvendige infrastruktur til rådighed for et sådant samarbejde, f.eks. når medlemsstaternes kompetente myndigheder henviser terrorrelateret indhold online, giver onlinetjenesteudbydere påbud om fjernelse af sådant indhold i henhold til Europa-Parlamentets og Rådets forordning (EU) 2021/784 (13), eller udveksler oplysninger med private parter i forbindelse med cyberangreb. Hvis medlemsstaterne anvender Europols infrastruktur til udveksling af personoplysninger om kriminalitet, der ikke er omfattet af Europols målsætninger, bør Europol ikke have adgang til disse oplysninger. Europol bør ved hjælp af tekniske midler sikre, at dets infrastruktur er strengt begrænset til at fungere som kanal for et sådant samarbejde mellem medlemsstaternes kompetente myndigheder og en privat part, og at det sørger for alle nødvendige garantier mod, at en privat part får adgang til andre oplysninger i Europols systemer, som ikke vedrører udvekslingen med denne private part.

(43)

Terrorangreb udløser omfattende udbredelse af terrorrelateret indhold via onlineplatforme, der viser skade på liv eller fysisk integritet eller opfordrer til at forvolde umiddelbar skade på liv eller fysisk integritet, hvilket giver mulighed for at glorificere terrorisme og udbyde træning med henblik på terrorisme og i sidste ende radikalisere og rekruttere andre personer. Endvidere medfører den øgede brug af internettet til at optage eller dele materiale, der viser seksuelt misbrug af børn, at ofrenes lidelser gøres varige, fordi materialet nemt kan mangfoldiggøres og videregives. For at forebygge og bekæmpe kriminalitet, der er omfattet af Europols målsætninger, bør Europol kunne støtte medlemsstaternes indsats for effektivt at håndtere udbredelsen af terrorrelateret indhold i forbindelse med onlinekrisesituationer, der skyldes igangværende eller nylige virkelige begivenheder, onlineudbredelsen af onlinemateriale, der viser seksuelt misbrug af børn, og støtte onlinetjenesteudbyderes indsats under overholdelse af deres forpligtelser i henhold til EU-retten samt i deres frivillige indsats. Med henblik herpå bør Europol kunne udveksle relevante personoplysninger, herunder en unik, ikkekonvertibel digital signatur (»hash«), IP-adresser eller URL'er vedrørende sådant indhold, med private parter, der er etableret i Unionen eller i et tredjeland, der er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, eller hvormed der i mangel af en sådan afgørelse er indgået en international aftale eller en samarbejdsaftale, eller hvor de fornødne garantier for beskyttelsen af personoplysninger er fastsat i et juridisk bindende instrument, eller Europol på grundlag af en vurdering af alle omstændighederne ved overførslen af personoplysninger fastlægger, at disse garantier er til stede i det pågældende tredjeland. Sådanne udvekslinger af personoplysninger bør kun finde sted med henblik på at fjerne terrorrelateret indhold og onlinemateriale, der viser seksuelt misbrug af børn, navnlig hvor der forventes eksponentiel mangedobling og viralitet af dette indhold og materiale på tværs af flere onlinetjenester. Intet i denne forordning bør forstås således, at det forhindrer en medlemsstat i at anvende påbud om fjernelse som fastsat i forordning (EU) 2021/784 som et instrument til at håndtere terrorrelateret indhold online.

(44)

Med henblik på at undgå dobbeltarbejde og mulige forstyrrelser af efterforskninger og for at minimere byrden for de berørte hostingtjenesteydere bør Europol bistå, udveksle oplysninger og samarbejde med medlemsstaternes kompetente myndigheder for så vidt angår transmissioner og videregivelser af personoplysninger til private parter for at håndtere onlinekrisesituationer og onlineudbredelsen af onlinemateriale, der viser seksuelt misbrug af børn.

(45)

Forordning (EU) 2018/1725 fastsætter regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer. Forordning (EU) 2018/1725 finder anvendelse på Europols behandling af administrative personoplysninger, som ikke vedrører strafferetlige efterforskninger, som f.eks. personaleoplysninger, men nævnte forordnings artikel 3, nr. 2), og kapitel IX, som omhandler behandling af personoplysninger, finder på nuværende tidspunkt ikke anvendelse på Europol. For at sikre ensartet og konsekvent beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør kapitel IX i forordning (EU) 2018/1725 finde anvendelse på Europol i overensstemmelse med artikel 2, stk. 2, i nævnte forordning og suppleres med nærmere bestemmelser for de specifikke behandlingsoperationer, som Europol bør udføre for at varetage sine opgaver. EDPS' tilsynsbeføjelser over for Europols behandlingsoperationer bør derfor styrkes i overensstemmelse med de relevante beføjelser, der gælder for behandling af administrative personoplysninger, og som finder anvendelse på alle Unionens institutioner, organer, kontorer og agenturer i henhold til kapitel VI i forordning (EU) 2018/1725. Med henblik herpå bør EDPS, hvis Europol behandler personoplysninger til operationelle formål, kunne give Europol påbud om at bringe behandlingsoperationerne i overensstemmelse med nærværende forordning og give påbud om suspension af overførsel af oplysninger til en modtager i en medlemsstat, et tredjeland eller en international organisation, og EDPS bør kunne pålægge en administrativ bøde i tilfælde af Europols manglende overholdelse.

(46)

Behandlingen af oplysninger med henblik på denne forordning vil kunne indebære behandling af særlige kategorier af personoplysninger som fastsat i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (14). Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom fotografier kun er omfattet af definitionen af biometriske data, jf. artikel 3, nr. 18), i forordning (EU) 2018/1725, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person.

(47)

Den forudgående høringsmekanisme omfattende EDPS, som er fastsat i forordning (EU) 2018/1725, er en vigtig garanti for nye typer af behandlingsoperationer. Denne mekanisme bør dog ikke finde anvendelse på specifikke individuelle operationelle aktiviteter såsom operationelle analyseprojekter, men på anvendelse af nye informationsteknologisystemer (IT-systemer) til behandling af personoplysninger og væsentlige ændringer af disse systemer, som vil indebære en høj risiko for registreredes rettigheder og frihedsrettigheder. Fristen, inden for hvilken EDPS bør kræves at give skriftlig rådgivning om sådanne høringer bør ikke kunne suspenderes. I tilfælde af behandlingsaktiviteter af væsentlig betydning for udførelsen af Europols opgaver, som er særligt hastende, bør Europol undtagelsesvis kunne indlede behandlingen allerede efter iværksættelsen af den forudgående høring, selv om fristen for at give skriftlig rådgivning fra EDPS endnu ikke er udløbet. En sådan hastende karakter kan opstå i tilfælde med væsentlig betydning for udførelsen af Europols opgaver, når behandlingen er nødvendig for at forebygge og bekæmpe en umiddelbar trussel om en strafbar handling, der er omfattet af Europols målsætninger, og for at beskytte den registreredes eller en anden persons vitale interesser. Europols databeskyttelsesrådgiver bør inddrages i vurderingen af, om en sådan behandling haster og er nødvendig, inden den frist, som EDPS har til at reagere på forudgående høring, udløber. Europols databeskyttelsesrådgiver bør føre tilsyn med den pågældende behandling. EDPS bør kunne udøve sine beføjelser i forbindelse med en sådan behandling.

(48)

I betragtning af de udfordringer, som den hurtige teknologiske udvikling og terroristers og andre kriminelles udnyttelse af nye teknologier udgør for Unionens sikkerhed, er medlemsstaternes kompetente myndigheder nødt til at styrke deres teknologiske kapaciteter til at identificere, sikre og analysere de oplysninger, der er nødvendige for at efterforske strafbare handlinger. Europol bør kunne støtte medlemsstaterne med anvendelsen af nye teknologier, med at udforske nye tilgange og med at udvikle fælles teknologiske løsninger, så medlemsstaterne bedre kan forebygge og bekæmpe kriminalitet, der er omfattet af Europols målsætninger. Samtidig bør Europol sikre, at udviklingen, anvendelsen og udbredelsen af nye teknologier styres af principperne om gennemsigtighed, forklarlighed, rimelighed og ansvarlighed, ikke underminerer de grundlæggende rettigheder og frihedsrettigheder og er i overensstemmelse med EU-retten. Med henblik herpå bør Europol kunne udføre forsknings- og innovationsprojekter vedrørende spørgsmål, der er omfattet af denne forordning, inden for det generelle anvendelsesområde for forsknings- og innovationsprojekter, som bestyrelsen har fastlagt i et bindende dokument. Dette dokument bør, hvor det er relevant, ajourføres og stilles til rådighed for EDPS. Det bør kun være muligt for disse projekter at omfatte behandling af personoplysninger, hvis visse betingelser er opfyldt, nemlig at behandlingen af personoplysninger er strengt nødvendigt, det pågældende projekts mål ikke kan nås ved anvendelsen af andre data end personoplysninger såsom syntetiske eller anonyme oplysninger, og fuld respekt for de grundlæggende rettigheder, navnlig ikkeforskelsbehandling, sikres.

Behandling af særlige kategorier af personoplysninger til forsknings- og innovationsformål bør kun tillades, hvis det er strengt nødvendigt. I betragtning af en sådan behandlings følsomhed bør der anvendes passende yderligere garantier, herunder pseudonymisering. For at afhjælpe bias i forbindelse med algoritmisk beslutningstagning bør Europol kunne behandle personoplysninger, der ikke vedrører de kategorier af registrerede, der er opført i bilag II. Europol bør føre log over al behandling af personoplysninger udført i forbindelse med sine forsknings- og innovationsprojekter alene med henblik på at kontrollere, at resultatet af databehandlingen er korrekt, og kun så længe som nødvendigt for denne kontrol. Bestemmelserne om Europols udvikling af nye værktøjer bør ikke udgøre et retsgrundlag for deres anvendelse på EU-plan eller nationalt plan. For at fremme innovation og styrke synergier inden for forsknings- og innovationsprojekter er det vigtigt, at Europol intensiverer sit samarbejde med relevante netværk af fagfolk i medlemsstaterne og andre EU-agenturer inden for deres respektive kompetencer på dette område og støtte andre relaterede former for samarbejde såsom sekretariatsstøtte til EU-innovationsknudepunktet for indre sikkerhed som et samarbejdsnetværk af innovationslaboratorier.

(49)

Europol bør spille en central rolle med hensyn til at bistå medlemsstaterne med at udvikle nye teknologiske løsninger baseret på kunstig intelligens, der er relevante for at opfylde Europols målsætninger, og som er til gavn for medlemsstaternes kompetente myndigheder i hele Unionen. Denne bistand bør gives under fuld overholdelse af de grundlæggende rettigheder og frihedsrettigheder, herunder ikkeforskelsbehandling. Europol bør spille en central rolle med hensyn til at fremme udviklingen og anvendelsen af etisk, pålidelig og menneskecentreret kunstig intelligens, der er underlagt solide garantier med hensyn til sikkerhed, gennemsigtighed, forklarlighed og grundlæggende rettigheder.

(50)

Europol bør underrette EDPS forud for iværksættelsen af sine forsknings- og innovationsprojekter, der omfatter behandling af personoplysninger. Europol bør enten underrette eller høre sin bestyrelse i overensstemmelse med visse kriterier, der bør fastsættes i relevante retningslinjer. Europol bør ikke behandle oplysninger med henblik på forsknings- og innovationsprojekter uden samtykke fra den medlemsstat, det EU-organ, det tredjeland eller den internationale organisation, der har meddelt oplysningerne til Europol, medmindre den pågældende medlemsstat, det pågældende EU-organ, det pågældende tredjeland eller den pågældende internationale organisation på forhånd har givet tilladelse til en sådan behandling med henblik på dette formål. For hvert projekt bør Europol forud for behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse for at sikre fuld overholdelse af retten til databeskyttelse og alle andre grundlæggende rettigheder og frihedsrettigheder for de registrerede. Konsekvensanalysen vedrørende databeskyttelse bør omfatte en vurdering af, om de personoplysninger, der skal behandles, er passende, nødvendige og forholdsmæssige i forhold til projektets specifikke formål, herunder kravet om dataminimering og en vurdering af eventuelle bias i resultatet og i de personoplysninger, der skal behandles med henblik på projektets specifikke formål, samt de foranstaltninger, der påtænkes truffet for at imødegå disse risici. Europols udvikling af nye værktøjer bør ikke berøre retsgrundlaget, herunder grundene til behandling af de pågældende personoplysninger, som efterfølgende vil være nødvendigt for deres anvendelse på EU-plan eller nationalt plan.

(51)

At give Europol yderligere værktøjer og kapaciteter kræver en styrkelse af den demokratiske kontrol af Europol og Europols ansvarlighed. Fælles parlamentarisk kontrol er et vigtigt element i den politiske overvågning af Europols aktiviteter. For at muliggøre en effektiv politisk overvågning af den måde, hvorpå Europol anvender de yderligere værktøjer og kapaciteter, den får i medfør af denne forordning, bør Europol hvert år give Gruppen for Fælles Parlamentarisk Kontrol og medlemsstaterne detaljerede oplysninger om udviklingen, udbredelsen, anvendelsen og effektiviteten af disse værktøjer og kapaciteter og resultatet af deres anvendelse, navnlig om forsknings- og innovationsprojekter samt nye aktiviteter eller oprettelsen af nye specialiserede centre inden for Europol. For at afspejle den dobbelte kompetence, som Gruppen for Fælles Parlamentarisk Kontrol har, bør to repræsentanter for Gruppen for Fælles Parlamentarisk Kontrol, én for Europa-Parlamentet og én for de nationale parlamenter, desuden indbydes til mindst to ordinære bestyrelsesmøder om året for at tale til bestyrelsen på vegne af Gruppen for Fælles Parlamentarisk Kontrol og for at drøfte den konsoliderede årsberetning, det samlede programmeringsdokument og det årlige budget, de skriftlige spørgsmål og svar fra Gruppen for Fælles Parlamentarisk Kontrol samt eksterne forbindelser og partnerskaber, samtidig med at de forskellige roller og ansvarsområder for bestyrelsen og Gruppen for Fælles Parlamentarisk Kontrol respekteres i overensstemmelse med denne forordning. Bestyrelsen bør sammen med repræsentanterne for Gruppen for Fælles Parlamentarisk Kontrol kunne fastlægge andre spørgsmål af politisk interesse, der skal drøftes. I overensstemmelse med den tilsynsrolle, som Gruppen for Fælles Parlamentarisk Kontrol varetager, bør de to repræsentanter for Gruppen for Fælles Parlamentarisk Kontrol ikke have stemmeret i bestyrelsen. Planlagte forsknings- og innovationsaktiviteter bør fastlægges i det samlede programmeringsdokument, der indeholder Europols flerårige programmering og det årlige arbejdsprogram, og transmitteres til Gruppen for Fælles Parlamentarisk Kontrol.

(52)

Efter et forslag fra den administrerende direktør bør bestyrelsen udpege en ansvarlig for grundlæggende rettigheder, som bør være ansvarlig for at støtte Europol i forbindelse med sikring af overholdelsen af de grundlæggende rettigheder i alle dets aktiviteter og opgaver, navnlig Europols forsknings- og innovationsprojekter og dets udveksling af personoplysninger med private parter. Det bør være muligt at udpege et medlem af Europols eksisterende personale, som har modtaget særlig uddannelse i ret og praksis vedrørende grundlæggende rettigheder, som den ansvarlige for grundlæggende rettigheder. Den ansvarlige for grundlæggende rettigheder bør arbejde tæt sammen med databeskyttelsesrådgiveren inden for rammerne af deres respektive kompetencer. For så vidt angår spørgsmål vedrørende databeskyttelse bør databeskyttelsesrådgiveren have det fulde ansvar.

(53)

Målet for denne forordning, nemlig at støtte og styrke medlemsstaternes kompetente myndigheders indsats for og deres indbyrdes samarbejde om at forebygge og bekæmpe grov kriminalitet, der berører to eller flere medlemsstater, samt terrorisme og de former for kriminalitet, der berører en fælles interesse, som er omfattet af en EU-politik, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af den grænseoverskridende karakter af grov kriminalitet og terrorisme og behovet for en koordineret indsats mod relaterede sikkerhedstrusler bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(54)

I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og til TEUF, har Irland meddelt, at det ønsker at deltage i vedtagelsen og anvendelsen af denne forordning.

(55)

I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og til TEUF, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark.

(56)

EDPS er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den 8. marts 2021 (15).

(57)

Denne forordning respekterer fuldt ud de grundlæggende rettigheder og garantier og følger de principper, som navnlig Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) anerkender, navnlig retten til respekt for privatliv og familieliv og retten til beskyttelse af personoplysninger som fastsat i chartrets artikel 7 og 8 samt artikel 16 i TEUF. I betragtning af betydningen af behandling af personoplysninger for retshåndhævelsesarbejdet generelt og for den støtte, der ydes af Europol, i særdeleshed, bør denne forordning indeholde øgede garantier samt mekanismer til demokratisk kontrol og ansvarlighed for at sikre, at Europols aktiviteter og opgaver udføres under fuld overholdelse af de grundlæggende rettigheder som nedfældet i chartret, navnlig rettigheder som lighed for loven, ikkeforskelsbehandling og adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af de foranstaltninger, som træffes i medfør af denne forordning. Enhver behandling af personoplysninger i henhold til denne forordning bør være begrænset til, hvad der er strengt nødvendigt og forholdsmæssigt, og underlagt klare betingelser, strenge krav og effektivt tilsyn fra EDPS.

(58)

Forordning (EU) 2016/794 bør derfor ændres i overensstemmelse hermed.

(59)

For at muliggøre øjeblikkelig anvendelse af denne forordnings foranstaltninger bør den træde i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende —